Descubre el Ecosistema IT [Information Technology] y todo sobre Inteligencia Artificial

Home » IT/SECURITY & BIOMETRICS » FireEye detecta malware que afecta 40 tipos de cajeros ATM
IT/SECURITY & BIOMETRICS

FireEye detecta malware que afecta 40 tipos de cajeros ATM

by patrick-itusers
by patrick-itusers 5 minutes read
A+A-
Reset

Se trata de una versión avanzada de un software malicioso descubierto en México en 2013.

Ciudad de México, 27 de Enero del 2017.— En fecha reciente, FireEye, Inc. (NASDAQ:FEYE), empresa global de seguridad avanzada para TI que proporciona protección dinámica contra amenazas en tiempo real, presentó los resultados sobre un estudio de los daños que produce Ploutus, uno de los malwares más avanzados de los últimos años y que afecta a los cajeros automáticos (ATM).

Este malware se descubrió por primera vez en México en 2013 cuando un grupo de cibercriminales vació cajeros usando un teclado externo conectado a los cajeros y mediante mensajes SMS con una técnica nunca antes vista.

FireEye identificó una versión de Ploutus que no había sido detectada: Ploutus-D, considerada una versión que encontrará un amplio campo para afectar, ya que la plataforma que daña funciona en 40 diversos tipos de cajeros distribuidos en 80 países.

Una vez desplegado en un cajero automático, Ploutus-D permite extraer miles de pesos en minutos, pero para actuar, el delincuente debe tener una llave maestra para abrir la parte superior del cajero automático, conectar un teclado físico a la máquina e ingresar un código de activación para obtener el dinero. Si bien hay riesgos de que la persona sea captada por las cámaras, la velocidad de la operación minimiza el riesgo para el delincuente.

Características no observadas anteriormente de Ploutus-D

  • Se despliega en los cajeros ATM que corren en Windows 10, Windows 8, Windows 7 y XP.
  • Tiene una Interfaz Gráfica de Usuario (GUI) distinta.
  • Incluye una característica que identifica y elimina los procesos de monitoreo de seguridad para evitar la detección.

Similitudes entre Ploutus y Ploutus-D

  • Su objetivo es vaciar los cajeros sin necesidad de una tarjeta.
  • El delincuente puede interactuar con el malware a través de un teclado externo conectado al cajero.
  • Un código de activación es generado por quien dirige la operación, y expira en 24 horas.
  • Ambos fueron creados en la plataforma .NET.
  • Puede correr bajo Windows o como aplicación independiente.

Disección de Ploutus-D

Ploutus-D puede correr a partir de un archivo ejecutable o “launcher” y a partir de ahí entregar dinero. En esta versión del malware los atacantes se esforzaron más en confundir y proteger su código de ingeniería inversa. El launcher se diseñó por los ciberatacantes de forma que no pueda ser alterado, y puede instalar, ejecutar Ploutus-D o desinstalarlo desde la máquina.

Interactuando con el launcher

El atacante interactúa con el launcher realizando el ataque a través de un teclado para cajeros ATM vía USB u otro puerto. Una vez que el launcher ha sido instalado en el cajero, se conecta con el teclado para recibir las instrucciones de los atacantes, quienes utilizan una combinación de teclas «F» para ejecutar la acción.

Entre las principales tareas que soporta figuran:

  • Iniciar programas bajo demanda, algunos de los cuales se descifran de la sección de recursos del Launcher
    • Main.exe
    • XFSConsole.exe
  • Kill Processes:
    • NHOSTSVC.exe
    • AgilisConfigurationUtility.exe
    • XFSConsole.exe
  • Borrado de archivos:
    • LOG – Secure Remote Management solution
  • Reinicio de máquina:
    • “wmic os where Primary=’TRUE’ reboot”

A continuación, el software KAL ATM legítimo se carga en el sistema junto con Ploutus-D para que todo el software y las versiones necesarias para ejecutar correctamente el malware están presentes en la misma carpeta para evitar cualquier problema de dependencia. (La misma técnica también fue utilizada por la primera versión de Ploutus).

Esto muestra que los atacantes probablemente tienen acceso al software ATM. Asimismo, pueden comprar cajeros automáticos físicos que vienen precargados con software de proveedores, o simplemente podrían robar los cajeros automáticos directamente desde las instalaciones del banco. Un ejemplo de un incidente real reportado en México se muestra en la siguiente figura.

Ploutus-D se asegura de que no exista un “mutex” (algoritmos de exclusión mutua) en el sistema para comenzar a correr. Al igual que el Launcher, Ploutus-D conectará el teclado para que los atacantes interactúen con él. Sin embargo, además de recibir comandos de las teclas «F«, también leerá desde el teclado numérico.

De forma similar a la versión anterior, la interfaz GUI se habilita al ingresar una combinación de teclas F. Después se introduce un código válido de 8 dígitos para que el dinero se extraiga. Ploutus-D también permite solicitar la cantidad a retirar y repetir la operación de dispensación. El monto total también es calculado por el malware.

Extrayendo el dinero

Para que el delincuente pueda empezar a extraer dinero, debe ingresar un código válido de 8 dígitos. Este código es proporcionado por el encargado de la operación y se calcula sobre la base de un ID único generado por ATM, el mes y día actuales del ataque. Una vez que se ha introducido un código de activación válido (válido por 24 horas), el proceso de entrega comienza pulsando «F3» desde el teclado externo.

Conclusión

Tal como FireEye anticipó en el Reporte de Predicciones 2017 el uso del malware en los cajeros ATM continuará incrementándose, especialmente en países en vias de desarrollo con controles débiles de seguridad física. Ploutus puede ser fácilmente modificado para atacar a varios vendedores de ATMs y sistemas operativos.

Preguntas y respuestas frecuentes:

  1. ¿Cuándo fue descubierto Ploutus-D?: En noviembre del 2016.
  2. ¿Ploutus-D se enfoca en la información del tarjeta habiente?: Solo fue diseñado para extraer dinero de los cajeros ATM.
  3. ¿Ya está afectando actualmente Ploutus-D los cajeros en el mundo?: Sí.
  4. ¿Cómo se instala Ploutus-D en los cajeros ATM?: A través de acceso físico.
  5. ¿Cómo interactúan los delincuentes con Ploutus-D?: A través de un teclado externo que requiere ser conectado al cajero ATM.

Acerca de FireEye, Inc.

FireEye es la compañía de seguridad basada en la inteligencia. Trabajando como una ampliación continua y escalable de las operaciones de seguridad del cliente, FireEye ofrece una plataforma sencilla que mezcla tecnologías innovadoras de seguridad, inteligencia contra robos en grado nacional-estatal, y con la consultoría de la mundialmente afamada Mandiant. Con este enfoque, FireEye elimina la complejidad y la carga de la seguridad cibernética para las organizaciones que luchan por prepararse, prevenir y responder a los ciber ataques. FireEye tiene más de 5,300 clientes en 67 países, incluyendo más de 825 de los Forbes Global 2000.

Social Share or Summarize with AI

ClaudeChatGPTGoogle AIGrokPerplexityWhatsApp

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuarlo!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

You Might Be Interested In
Spread the love

You may also like

Executor de Roblox: una amenaza creciente que te...

RSA anuncia cambio de CEO para una nueva...

Atos lanza solución de cumplimiento de normativa europea...

Aqara presenta en IFA 2025 hogares con inteligencia...

ESET alerta sobre GhostRedirector, un grupo chino que...

UTEC y World inauguran el primer nodo AMPC...

Review: Tarjeta Kingston Canvas Go! Plus microSDXC 256...

Ciberseguridad Física en Centros de Datos

Samsung Digital Appliances logra su primera certificación IoT...

Ataques DDoS en aumento: nuevo informe de NETSCOUT...

Leave a Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Translate »

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More